我有一个使用 OAuth 2.0 身份验证模型保护的 REST API。现在我有一个客户想要开发一个将使用此 API 的移动应用程序 (Android(。此应用程序将使用内置的指纹扫描仪旅馆Android登录。有没有人对此应用程序应该如何针对我的 OAuth 2.0 服务进行身份验证有任何建议?当我们之前创建移动应用程序时,我们使用了标准的Oauth登录,其中应用程序打开默认浏览器并使用标准的Oauth登录过程登录,但是如果用户应该能够使用指纹登录怎么办?
我们使用常规 Oauth 和刷新令牌解决了这个问题。我们使用默认的 oauth 流登录到应用程序一次,然后存储刷新令牌,但用户必须使用指纹进行身份验证才能获取刷新令牌,然后应用程序将刷新令牌交换为访问令牌。
在服务器端和客户端使用 auth0 服务怎么样?
- 在客户端实施生物识别身份验证(安装 android sdk(,以便将身份验证状态发送到服务器端
- 在服务器端实现逻辑以从客户端接收身份验证状态,并使用该状态通过 OAuth 解决方案对用户进行身份验证 使用非交互式客户端
或者您可以仅使用 auth0 服务来实现您想要的